最近、2023 年 RSAC 会議は、第 18 回 RSAC イノベーション サンドボックス コンペティションの最終的な「上位 10 社」を発表しました。ソフトウェア セキュリティ企業の Endor Labs が最終選考に残り、ソフトウェア サプライ チェーンのセキュリティとオープン ソースのセキュリティの問題が再び国際的な注目を集めました。Endor Labs は、ソフトウェア サプライ チェーン セキュリティにおけるエンタープライズ オープンソース ソフトウェア ガバナンスの問題を解決し、開発者がオープンソース ソフトウェアによってもたらされるリスクを迅速に特定して解決できるように設計された、信頼性の高いライフサイクル管理プラットフォームを提供します。
2021 年から、ソフトウェア サプライ チェーン セキュリティは RSCA イノベーション サンドボックス コンペティションの人気トラックとなり、2021 年の Apiiro と Wabbi、2022 年の Cycode はすべて、コンペティションから出てきたスター企業です。今年、ソフトウェア サプライ チェーン セキュリティ トラックにオープン ソース ソフトウェア セキュリティ企業が参加したことは、国際的な情報セキュリティ分野がこの方向性を非常に重視していることを示すのに十分であり、ソフトウェア サプライ チェーン セキュリティの強化は、情報を確保するための重要な手段の 1 つになっています。各国の治安.
オープン ソース ソフトウェアの開発と普及に伴い、ますます多くの企業がオープン ソース テクノロジを採用して独自のビジネスを構築および運用し始めています。ただし、オープン ソース テクノロジのガバナンスは、企業にとって複雑な問題です。この 1 年間、オープン ソース ソフトウェアのサプライ チェーンに対する攻撃が頻繁に発生し、企業の発展や国家建設にさえ深刻な脅威をもたらしています。
オープンソース コミュニティにとって、維持されているオープン ソース ソフトウェアの配布と更新は分散しており、統一された管理と監査メカニズムが欠けているため、攻撃者が脆弱性を悪用してオープン ソース ソフトウェアのサプライ チェーン全体を危険にさらすことが容易になっています。したがって、ソフトウェア サプライ チェーンのセキュリティと信頼性を確保することも、オープン ソース コミュニティを使用する上で重要です。
オープンソース ソフトウェアの「3 つの典型的な」サプライ チェーン セキュリティ リスク
01 脆弱性セキュリティリスク
オープンソース ソフトウェアは基本的に開発者によって開発されます.時間の経過とともに、昨年の Log4J 事件のように、後方技術の反復と不十分なコード テスト品質により、いくつかのセキュリティの脆弱性が発生します.第二に、オープン ソース ソフトウェアのオープンな性質により、攻撃者は、ソフトウェア自体の脆弱性情報を入手して攻撃を実行しやすいことが多く、影響が大きくなります。
02 知的財産リスク
オープンソース ソフトウェアの場合、「オープン ソース」は完全に無料という意味ではありません。現在のオープン ソース ソフトウェアを使用する場合も、同じ「契約要件」が適用されます。オープンソースの分野では、主に「オープンソースライセンス」を中心に展開しており、企業が関連する要件を実装できない場合、知的財産のリスクにつながりやすくなります。
03 サプライチェーンにおけるセキュリティリスク
オープン ソース ソフトウェアのサプライ チェーンは非常に複雑で、管理プラットフォーム (コミュニティ、財団、世界中の開発者など)、開発プロセス (パッケージング ツール、継続的インテグレーション ツール、コンテナー ミラーリング ツールなど)、および任意の A. 1 つのリンクの問題は、ソフトウェア サプライ チェーンのセキュリティ リスクにつながります。企業がオープン ソース プロセスを導入すると、そのような問題を検出することが困難になることが多く、オープン ソース ソフトウェアのサプライ チェーンにリスクが生じます。
オープンソース ソフトウェア サプライ チェーン セキュリティの防御方法
01 オープンソースソフトウェアの既知の脆弱性をタイムリーに修復
オープン ソース ソフトウェアの既知の脆弱性は、攻撃者によって最も簡単に悪用され、対応するソフトウェア システムまたはデータの機密性、整合性、または可用性が損なわれます。オープン ソース ソフトウェアを使用する場合、既知の脆弱性をタイムリーに特定して修復することが最も重要な保護方法です。
02 オープンソースソフトウェアの依存関係管理を実施
開発者がシステムでオープンソース ソフトウェアを使用することの依存関係をよりよく理解できるように、オープン ソース ソフトウェアの最新バージョンを維持し、互換性のないバージョンの依存ライブラリまたは脆弱性によって引き起こされるシステム クラッシュ、データ漏えい、ビジネスの中断などのセキュリティ リスクを回避します。
03 ソースコードのレビュー
ソフトウェア ソース コードを包括的にスキャンして、開発者がコード内の潜在的な問題や抜け穴を発見し、それらに起因するセキュリティの抜け穴やシステム障害を回避し、ソフトウェアの品質とセキュリティを向上させるのに役立ちます。
04 サプライチェーンマネジメントの強化
健全なサプライ チェーン管理システムを確立して、オープン ソース ソフトウェアのソースと整合性を確保し、悪意のあるコードと潜在的な脆弱性の拡散を防ぎ、ソフトウェア サプライ チェーンを管理することで、ソフトウェアの品質と信頼性を向上させ、ソフトウェアがユーザーのニーズを満たすことを保証できます。
ソフトウェア サプライ チェーンのセキュリティ テスト プラットフォームを構築して、包括的なソフトウェア セキュリティ テストを提供する
ソフトウェア サプライ チェーン セキュリティ検出プラットフォーム (SSCSP) は、オープン ソース ネットワーク セキュリティのセキュリティ分野における 10 年近くの実務経験と技術蓄積に依存し、ソフトウェア サプライ チェーンのフロントエンド リンクを制御することにより、お客様が安全で信頼できるソフトウェアを提供できるように支援します。安全。ユーザーがセキュリティ コストを節約し、限られたリソースをコア ビジネスに投資し、ビジネスの競争力を高めるのに役立ちます。
お客様のメリット: 安全性とリスクの軽減
ソフトウェアのセキュリティ、安定性、信頼性を総合的に向上させ、ビジネスの競争力を高めます。
ソフトウェアサプライチェーンのセキュリティリスクを早期に明確に把握し、リスク管理能力を向上させます。
セキュリティ コストを削減し、限られたリソースをコア ビジネスに投資し、コストを削減して効率を高めます。
製品の価値: 4 in 1、ソフトウェア サプライ チェーンのセキュリティを確保
01 多面的かつ総合的な安全検査
ソース コード、ソフトウェア ライセンス、およびバイナリ ファイル アプリケーションの動作環境から、ソフトウェアの総合的なセキュリティ検査を実施します. 出力された検査レポートには、ユーザーが脆弱性の修復を迅速に完了するのに役立つ専門家の結果分析と修復の提案が含まれています.
02 ソフトウェア脆弱性の早期警告
オープンソース ネットワーク セキュリティ チームは、ソフトウェア資産に基づいて業界の最新の脆弱性状況に常に注意を払い、業界の脆弱性インテリジェンス データを迅速に適応させ、顧客に脆弱性警告情報を提供します。
03 ソフトウェア部品表分析 (SBOM)
プラットフォームは、検出されたソフトウェアに対して BOM セキュリティ分析を実行し、視覚化された形式で表示します (ソフトウェアの数量、依存関係、脆弱性、ライセンスの互換性などを含む)。
04 ソフトウェア状況の可視化
部品表、脆弱性の分布、ソフトウェアの詳細、ライセンス情報などの多次元ビジュアル表示を含む、検出されたすべてのソフトウェアのデータ分析と表示により、ユーザーはソフトウェア資産の状況を一目で把握できます。